¿Qué fracción de los sitios web son vulnerables?

El informe anual 2011 de WhiteHat Security tiene algunas estadísticas detalladas sobre los sitios web que monitorean, y qué fracción de ellos son vulnerables.

Aquí hay algunos puntos destacados:

• El 84% de los sitios web fueron vulnerables durante al menos 30 días a partir de 2010. (En otras palabras, cuente el número de días en 2010 cuando el sitio web tenía al menos una vulnerabilidad grave. Para el 84% de los sitios web , este número fue de 30 días o más.) El 44% era vulnerable por cada día del 2010.

• Aproximadamente la mitad de los sitios bancarios fueron vulnerables durante al menos 30 días de 2010. 16% fueron vulnerables por cada día de 2010.

• La mayoría de los otros sectores fueron comparables a la tasa general de todos los sitios web. En otras palabras, los sitios bancarios son la excepción; todos los demás son bastante similares.

• El sitio web promedio tuvo un total de 230 vulnerabilidades graves en un momento u otro en 2010. El sitio web bancario promedio tuvo un total de 30 vulnerabilidades graves en 2010.

• De las vulnerabilidades que se han solucionado, el tiempo medio para solucionarlas es de aproximadamente 116 días (en todos los sitios web). (El número correspondiente para los sitios bancarios es de 13 días). Sin embargo, muchas de las vulnerabilidades no se han corregido, por lo que es probable que estas cifras subestimen el verdadero tiempo de reparación.

El informe define una vulnerabilidad grave como una que se clasificaría como de alta gravedad, crítica o urgente según el estándar PCI-DSS.

Parece que algo en el estadio de juego del 80% de los sitios web es vulnerable a varios ataques.

El estudio más reciente que he visto fue en 2008 por Seguridad de la aplicación web Consorcio [webappsec.org]. El estudio se compiló a partir de los resultados de ocho proyectos de evaluación de seguridad separados y tenía un tamaño de muestra total de 12186 aplicaciones web compuestas de varias industrias. El estudio es una lectura muy interesante, pero resumiré algunos de los puntos clave para usted aquí:

• Se detectaron 97554 vulnerabilidades en diferentes niveles de riesgo.
• Más del 13% de todos los sitios revisados se pueden comprometer de forma completamente automática.
• Aproximadamente el 49% de las aplicaciones web contienen vulnerabilidades de alto nivel de riesgo (Urgente y Crítico) detectadas durante el análisis automático.
• Al menos el 88% de los sitios web tienen una vulnerabilidad grave (clasificada como Urgente, Crítica o Alta según el estándar PCI-DSS).
• El 99% de las aplicaciones web no cumplen con el estándar PCI DSS.

Tenga en cuenta que estas cifras tienen alrededor de cuatro años, y cuatro en años de internet es toda una vida (en otras palabras: tómelas con un grano de sal). Dicho esto, dudo mucho que se haya hecho algún cambio significativo en el porcentaje de sitios vulnerables.

En una nota ligeramente relacionada, si está interesado en otras estadísticas relacionadas con la seguridad, hay dos buenos sitios que publican informes de forma ligeramente más frecuente.

• Uno es un sitio de seguridad cibernética [us-cert.gov] patrocinado por DHS, cuyo último informe se puede encontrar aquí (pdf).
• Otro (con el que probablemente ya estés familiarizado) es el Open Web Application Security Project [owasp. org], cuyo último informe se puede encontrar aquí .

Veracode lanzó algunos datos sobre las aplicaciones web que han analizado . Aquí hay algunos puntos destacados.

Sobre el cumplimiento de los estándares de OWASP, que dicen que su aplicación no debería tener ninguna vulnerabilidad en el Top 10 de OWASP (ver Figura 24):

• El 16% de las aplicaciones web gubernamentales no tienen una vulnerabilidad detectada en los 10 principales de OWASP
• El 24% de las aplicaciones web de la industria financiera no tienen una vulnerabilidad detectada en el top 10 de OWASP
• El 28% de las aplicaciones web comerciales cumplen con una vulnerabilidad no detectada en el top 10 de OWASP

(Nota al pie: Esto es para el primer envío de la aplicación a su servicio.)

Sobre el cumplimiento de los estándares SANS, que requieren que no tenga ninguna vulnerabilidad en la lista de los 25 principales de SANS (consulte la Figura 25):

• El 18% de las aplicaciones web gubernamentales no tienen una vulnerabilidad detectada en los 25 principales de SANS
• El 28% de las aplicaciones web de la industria financiera no tienen una vulnerabilidad detectada en los 25 principales de SANS
• El 34% de las aplicaciones web comerciales no tienen una vulnerabilidad detectada en los 25 principales de SANS

La metodología no está clara en el sitio web. No está claro cuántas de las aplicaciones web que no son compatibles son vulnerables (o, en realidad, cuántas de las aplicaciones web compatibles son vulnerables).

También informan estadísticas sobre la prevalencia de varias vulnerabilidades, en las aplicaciones web que han analizado (ver Tabla 7):

• El 75% de las aplicaciones web del gobierno eran vulnerables a XSS
• El 67% de las aplicaciones web de la industria financiera fueron vulnerables a XSS
• El 55% de las aplicaciones web comerciales eran vulnerables a XSS

y

• El 40% de las aplicaciones web del gobierno eran vulnerables a la inyección de SQL
• El 29% de las aplicaciones web de la industria financiera fueron vulnerables a la inyección de SQL
• El 30% de las aplicaciones web comerciales eran vulnerables a la inyección de SQL

En resumen, parece que algo como al menos el 80% de las aplicaciones web son vulnerables, según sus estadísticas.